ESG最前線/法遵合規 邁向系統化

了解自身企业有哪些法令规范要遵循属于「What」的层次,但是如何在组织部门分散、执行人员众多的企业运作下落实执行,就是属于另一个「How」的层次。套一句白话的说法,「知道」并非等同「做到」,两者往往还存在一些差距。

主要原因是企业的「法规适用性清单」永远处于「动态」更新的状态,除了外部的政府主管机关要求会变动,内部的执行人员也有可能轮调、异动。若是没有进行数位化管理、而是采用传统「静态」文件的管理方式,法规鉴别与查核程序的疏漏在所难免。

举例来说,以「每季」为单位进行法规鉴别的中型企业,异动法条的数量动辄数百条,需要分派到各执行单位做符合性判别。

以传统电子文件(Excel、Word)来做资讯的传递与协作,总是发生格式不一、内容不齐、资讯整合没效率的困扰。换言之,当各单位流通的「资讯流」未能标准化,沟通成本就居高不下。

国内外企业在「法遵合规」评比的绩优生,多是以「系统化」的平台来管理法规鉴别与查核工作。除了跨部门协作效率有效提升之外,法规鉴别查核历程的留存,更是绩优企业「知识管理( Knowledge Management,KM)」重要的一环。

当企业因为产业环境变化、重大事件发生、客户要求改变,需要检验合规程度及诊断潜在风险时,知识管理水平较高的企业,得以借助过去的经验(查核历程)快速找出风险热区、对症下药。相反的,若是只把法规鉴别程序视为对稽核人员的交差了事,经验没有累积、提升与传承,长远来说企业仍然暴露在违规、危害的系统性风险之下。

一位产业前辈比喻的很生动,他告诉我:「导入系统前,我们每年做一次法遵合规的稽核工作,连续做了十年相同的工作。」「但是在导入系统后,法遵合规的稽核工作即将迈入第十年,每一年我们都在既有的基础上更加进步,根本性的降低『系统性风险』。」

前者是一项工作十年内执行十次,后者是一种工作持续做了十年。企业如何迈向「永续经营」之路,各自解读。